Замечено в Федоре 38: раз, два. Говорят, в Арче тоже самое.
Предлагается откатить пакет openvpn (что я сделал) или обновить openvpn на серверах. Но зачем подкадывать такую свинью? Всем известно, что сервера обычно не обновляются годами.
Но, конечно, любителей отключать вредные по мнению любителей протоколы и хэши в шифровании - ждет отдельная шипастая сковородка в аду криптографии.
Раскрой мысль. Нельзя теперь вообще нигде очередной более несекьюрный SHA-1 отключить, и он теперь должен работать веки вечные? или можно отключить, но профессионалу?
Раскрой мысль. Нельзя теперь вообще нигде очередной более несекьюрный SHA-1 отключить, и он теперь должен работать веки вечные? или можно отключить, но профессионалу?
Оно должно орать везде, что оно несекурное, но работать. Ибо много где секурность такого уровня вообще не нужна.
А по сути некуда орать ни библиотекам общего назначения, ни даже сабжевому openvpn’у. Пока оно работает, ТСу начхать, он же в логи не смотрит. Так что это вариант
Можно полгода дать тебе юзать несекьюрные настройки, и отложить твой нытик-тред на полгода.
А ничо, что у людей поотваливались соединения из-за того, что на сервере принудительно требуется сжатие? Делать что? У меня рабочий впн тоже требует сжатия, но я, слава ЛММ, не пользую федору.
Протон тоже использует алгоритм, который федора назвала несекурным и отрубила.
А ничо, что это произошло на границе мажорного релиза, где как раз и не гарантировано, что что-либо будет работать после апгрейда? Снимать логи, слать админу сервера, откатываться.
Вторая ссылка в первом сообщении. Там же рассказывают, что роутер может предоставлять VPN, через который теперь в принципе нельзя соединиться под федорой.
В чём проблема то переключить настройку? Это делается быстрее создания треда на лоре.
Я об этом и написал. Но иногда хэши и шифры выпиливают под корень. И про это я тоже написал.
Ну а я если ты про настройку сервера - то это не всегда технически возможно, и не всегда оправданно, когда возможно (например, если сервером пользуются сто неграмотных человек, для того, чтобы котиков смотреть, а тебе ради переключения настройки придется каждому руками конфиг менять - котиков можно хоть через BF-CBC смотреть).
И? Не всегда эти ваши игры в шпионов оправданы. Если мне нужен тоннель только для того чтобы открыть ворота в подъезде то плевать, пусть хоть без пароля пускает. Что остается делать, если там стоит какой-нибудь старый роутер или ОС, что не умеет в эти ваши новомодные алгоритмы?
Если у вас единственного на всю компанию не будет работать тоннель, то админы лично ради вас не будут ничего менять, сами поставили себе систему, которая безальтернативно запрещает вам использовать какой-то алгоритм - сами виноваты. В компаниях больше 100 человек поменять всем конфиги вообще не тривиальная задача, особенно учитывая что все доступы раздаются лично.
Нельзя теперь вообще нигде очередной более несекьюрный SHA-1 отключить, и он теперь должен работать веки вечные?
Вот и пусть работает, кому нужна секурность, те и сами на сервере настроят, а клиент подхватит.
У меня так libreswan не работал(причем винда соединяется влёт), так оказалось, что эти наркоманы отключили на уровне сборки алгоритм DH2 как несекурный. А мне что делать, если у работодателя на сервере такие настройки? Пришлось пересобирать почти вручную(ебилд править, что бы я делал в какой-нибудь убунте - хз). Но 2 дня у меня эти пляски сожрали, т.к. по логам было не особо очевидно в чем проблема.
Уведомить работодателя. И он, и его аудитор очень будут рады этому знанию
Ответ будет: В винде у всех работает - значит все в порядке, а ты со своим линуксом сам разбирайся. Да и не все с гостайной работают, чтобы была опасность от несекурного алгоритма(ага, тот самый неуловимый джо).
Покажи свой коммент своему работодателю, получи бесплатный тренинг по ИБ.
Я админу уже отправлял даже ссылку на коммит с комментарием о том что не безопасный алгоритм выпилен. Ответ был в духе, ну я сообщу наверх, если задачу поставят, то перенастрою. Вероятнее всего, что всем наплевать. Ну может в бэклог админам кинут и дойдет до этой таски дело через пару лет.
PS: Главный посыл, что у 99% юзеров с мака и венды всё работает, а что там красноглазики у себя придумали - никого особо не волнует.
Это не игры в шпионов, а обычная практика. 5 лет, в течение которых логи светились красными предупреждениями о последующем удалении опций - достаточно для приведения конфигов в актуальный вид и переписывания вредных советов инструкций бородатых годов.
В компаниях больше 100 человек … особенно учитывая что все доступы раздаются лично.
Это значит только то, что админы в этих компаниях некомпетентны или саботажники.